CVE-2025-55752 та CVE-2025-55754: Вразливості Apache Tomcat наражають сервери на атаки з виконанням довільного коду

Аналіз

У березні 2025 року CVE-2025-24813 показала, як швидко вразливість Apache Tomcat може бути перетворена на зброю, з масовою експлуатацією, що спостерігається одразу після розкриття. Нещодавно розкриті CVE-2025-55752 і CVE-2025-55754 слідують тій самій схемі, піддаючи сервери Tomcat віддаленому виконанню коду (RCE) і сценаріям обману адміністраторів, якщо не вжити заходів. Tomcat підтримує сотні тисяч Java веб-додатків по всьому світу, тому вразливості на цьому шарі мають великий вплив у масштабі в корпоративному та урядовому середовищах. CVE-2025-55752, оцінена як “Важлива”, є регресією, яка дозволяє проходження по каталогах через переписані URL, надаючи доступ до зазвичай захищених шляхів, таких як /WEB-INF/ і /META-INF/. Якщо ввімкнено HTTP PUT, зловмисники можуть завантажувати шкідливі файли і переміщатися до RCE. CVE-2025-55754, оцінена як “Низька”, зловживає ANSI-послідовностями, вставленими у журнали консолі, створюючи можливості для соціальної інженерії, де адміністратори обманюються виконати команди, що контролюються зловмисниками.

Розслідування

Обидві вразливості впливають на Apache Tomcat 9, 10, и 11 (11.0.0-M1–11.0.10, 10.1.0-M1–10.1.44, 9.0.0-M11–9.0.108) плюс обрані збірки з кінцем життєвого циклу 8.5.x (8.5.60–8.5.100). Командам безпеки слід спочатку проінвентаризувати кожен екземпляр Tomcat, включаючи застарілі та невраховані ІТ ресурси, та зіставити кожен сервер з його точною версією та профілем конфігурації. Для CVE-2025-55752, розслідувачам потрібно перевірити шаблони URL на спроби обходу шляхів у /WEB-INF/ або /META-INF/, переглянути журнали доступу для незвичайних запитів PUT, неочікуваних завантажень та новостворених файлів, і порівняти їх із законними API, які використовують PUT. Для CVE-2025-55754 зосередьтеся на серверах, які запускають Tomcat в інтерактивній консолі, особливо на Windows, шукаючи ANSI-послідовності або аномалії у візуалізації журналів і відновлення робочих процесів адміністратора (історія буфера обміну, скопійовані команди). Цю роботу слід підтримувати ширшими заходами загрози і перевірками показників по веб-журналах і телеметрії кінцевих точок.

Пом’якшення

Якщо ви підозрюєте, що CVE-2025-55752 або CVE-2025-55754 досліджується або активно експлуатується:

1. Виправіть Tomcat: Оновіть всі уражені екземпляри до Apache Tomcat 11.0.11, 10.1.45, або 9.0.109 (або новіших підтримуваних виробником випусків) і виведіть з експлуатації або замініть непідтримувані збірки 8.5.x.
2. Зміцніть методи HTTP: Вимкніть HTTP PUT там, де він не є строго необхідним. Якщо PUT необхідний, заблокуйте його для автентифікованих, чітко визначених кінцевих точок і забезпечте суворі дозволи файлової системи на каталоги завантажень.
3. Перегляньте журнали і використання консолі: Не запускайте продуктивний Tomcat в режимі інтерактивної консолі. Для середовищ розробки/тестування, які це роблять, очищуйте налаштування журналювання і тренуйте адміністраторів щодо ризику ANSI-послідовностей і атак, пов’язаних з копіюванням-вставкою.
4. Моніторьте зловживання: Застосовуйте оповіщення для неочікуваних завантажень, змін конфігурації та аномалій у каталогах додатків, і спостерігайте за журналами на предмет підозрілих або неправильно сформованих запитів до основних шляхів Tomcat.

Паралельно, постійно скануйте вразливі розгортання Tomcat і ставте проблеми RCE класу Tomcat як високо пріоритетні в управлінні вразливостями.

Відповідь

Якщо ви підозрюєте, що CVE-2025-55752 або CVE-2025-55754 досліджується або активно експлуатується:

• Ізолюйте та пріоритизуйте постраждалі сервери. Тимчасово видаліть відкриті екземпляри Tomcat з інтернету або обмежте доступ (наприклад, тільки через VPN) під час розслідування.
• Зберігайте докази. Збирайте журнали доступу Tomcat, журнали додатків, системні журнали, знімки конфігурації і метадані файлової системи для кореня вебу і каталогів розгортання.
• Шукайте збереженність і веб оболонки. Шукайте несподівані JSP, скрипти або двійкові файли в /WEB-INF/, /META-INF/, каталоги завантажень і прилеглі шляхи; порівнюйте з відомими гарними базами.
• Перегляньте дії адміністраторів. Особливо для CVE-2025-55754, перевірте, чи не скопіювали адміністратори команди з консолей, які могли містити ANSI-маніпулюванням виходи, і перевірте будь-які зміни, що в результаті цього.
• Перебудуйте з чистих джерел. У випадках, коли компрометацію не можна виключити, повторно розгорніть Tomcat і додатки з довірених зображень і повторно застосуйте зміцнені, повністю виправлені конфігурації.
• Оновіть виявлення і навчання. Додайте шаблони експлуатації CVE-2025-55752 / CVE-2025-55754, підозріле використання PUT і аномалії послідовностей виходу у SIEM та EDR, і повідомте команди операцій про безпечні практики консольного та журналювання.